As recentes comunicacións do CCN-CERT e de INCIBE non son un recordatorio illado nin unha actualización técnica máis. Apuntan a un cambio profundo no modelo europeo de notificación de incidentes de ciberseguridade, con efectos directos sobre as administracións públicas, os operadores esenciais e as empresas reguladas.
Europa avanza cara a un marco común de reporte, baseado nunha ventanilla única que permita coordinar e harmonizar obrigas que ata agora estaban repartidas entre distintas normativas, autoridades e canles.
Do desorde operativo á coordinación europea
Ata o de agora, a situación era ben coñecida por calquera responsable de seguridade ou cumprimento. O Esquema Nacional de Seguridade impoñía as súas propias canles, o RGPD esixía notificar as violacións de datos persoais ante a AEPD e a isto engadíanse requisitos sectoriais adicionais segundo a actividade. Todo isto traducíase en formularios distintos, prazos diferentes e relatos repetidos xusto cando a organización estaba a xestionar unha crise.
O resultado non era unha maior seguridade, senón fragmentación, carga administrativa e un risco evidente de incoherencias nun momento crítico.
A Unión Europea decidiu corrixir este enfoque.
Un único fluxo para múltiples marcos regulatorios
O novo modelo europeo parte dunha idea sinxela. Un incidente debe notificarse unha soa vez a través dun único punto de entrada. A partir de aí, a información distribúese de forma coordinada ás autoridades competentes segundo o marco normativo aplicable.
Este enfoque afecta de cheo a NIS 2, que amplía o número de sectores obrigados e endurece os prazos de notificación. Tamén a DORA, que será plenamente esixible en 2025 para o sector financeiro e introduce un nivel de detalle moi superior no reporte de incidentes TIC. O RGPD intégrase neste esquema aliñando a notificación de violacións de datos persoais co resto do ecosistema de ciberseguridade. O mesmo ocorre con eIDAS e a súa evolución cara a eIDAS 2.0, que sitúa a identidade dixital e os servizos de confianza como infraestruturas críticas. CER, pola súa banda, reforza a visión da resiliencia desde unha perspectiva ampla na que os incidentes ciber e físicos poden converxer.
Non se trata de eliminar as autoridades nacionais, senón de impoñer un modelo de orquestración que evite notificacións duplicadas, incoherentes ou descoordinadas.
Implicacións específicas para eIDAS e CER
No ámbito de eIDAS, o cambio é especialmente relevante. Os provedores de servizos de confianza e as futuras carteiras europeas de identidade dixital deixan de operar nun marco illado e pasan a aliñarse plenamente con NIS 2 na xestión de incidentes graves.
CER reforza a idea de que un incidente relevante debe tratarse como un único evento, aínda que afecte a distintas dimensións da resiliencia. A notificación será coherente, trazable e coordinada, mesmo cando interveñan varias autoridades supervisoras.
Impacto real para as organizacións en España
Para empresas e organismos españois, este movemento implica revisar en profundidade os procedementos internos de xestión e notificación de incidentes. Desde o primeiro momento será necesario construír un relato único que integre a dimensión técnica, legal e executiva. O foco desprázase da canle ao contido e á calidade da información. Isto tamén obrigará a adaptar ferramentas e fluxos que hoxe dependen de canles separadas como LUCIA ou a sede electrónica da AEPD.
Un cambio de gobernanza, non só técnico
Non estamos ante un novo formulario nin ante un axuste administrativo menor. Trátase dun cambio de modelo.
Europa pasa de coordinar a dirixir a notificación de ciberincidentes.
A ciberseguridade deixa de xestionarse como un conxunto disperso de obrigas nacionais e sectoriais e consolídase como unha función estratéxica europea, con impacto directo na resiliencia, na soberanía dixital e na resposta ante crises.
